一、 漏洞 CVE-2023-37266 基础信息
漏洞标题
弱JSONWeb Token(JWT)秘密在CasaOS中
来源:AIGC 神龙大模型
漏洞描述信息
CasaOS中的弱JSON Web Token(JWT)密钥
来源:AIGC 神龙大模型
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:AIGC 神龙大模型
漏洞类别
认证机制不恰当
来源:AIGC 神龙大模型
漏洞标题
Weak json web token (JWT) secrets in CasaOS
来源:美国国家漏洞数据库 NVD
漏洞描述信息
CasaOS is an open-source Personal Cloud system. Unauthenticated attackers can craft arbitrary JWTs and access features that usually require authentication and execute arbitrary commands as `root` on CasaOS instances. This problem was addressed by improving the validation of JWTs in commit `705bf1f`. This patch is part of CasaOS 0.4.4. Users should upgrade to CasaOS 0.4.4. If they can't, they should temporarily restrict access to CasaOS to untrusted users, for instance by not exposing it publicly.
来源:美国国家漏洞数据库 NVD
CVSS信息
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
来源:美国国家漏洞数据库 NVD
漏洞类别
认证机制不恰当
来源:美国国家漏洞数据库 NVD
漏洞标题
CasaOS 授权问题漏洞
来源:中国国家信息安全漏洞库 CNNVD
漏洞描述信息
CasaOS是一个简单、易用、优雅的开源家庭云系统。 CasaOS 0.4.4之前版本存在授权问题漏洞。攻击者利用该漏洞可以制作任意JWT和访问通常需要身份验证的功能,并以root身份执行任意命令。
来源:中国国家信息安全漏洞库 CNNVD
CVSS信息
N/A
来源:中国国家信息安全漏洞库 CNNVD
漏洞类别
授权问题
来源:中国国家信息安全漏洞库 CNNVD
二、漏洞 CVE-2023-37266 的公开POC
| # | POC 描述 | 源链接 | 神龙链接 |
|---|
三、漏洞 CVE-2023-37266 的情报信息
-
标题: Security Vulnerabilities in CasaOS | Sonar -- 🔗来源链接
标签: x_refsource_MISC
- https://github.com/IceWhaleTech/CasaOS/security/advisories/GHSA-m5q5-8mfw-p2hr x_refsource_CONFIRM
- https://github.com/IceWhaleTech/CasaOS/commit/705bf1facbffd2ca40b159b0303132b6fdf657ad x_refsource_MISC
- https://nvd.nist.gov/vuln/detail/CVE-2023-37266